什么是入侵檢測

入侵檢測是通過監視各種操作，分析、審計各種數據和現象來實時檢測入侵行為的過程，它是一種積極的和動態的安全防御技術。入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

入侵檢測可以檢測以下這些攻擊：

• 拒絕服務：利用域名解析服務器不驗證請求源的弱點，攻擊者偽裝成攻擊目標域名向全世界數以百萬計的域名解析服務器發送查詢請求，域名服務器返回的數據要遠大于請求的數據，導致目標遭受了放大數十倍的DDoS攻擊。被利用的域名服務器因此每天會收到大量的惡意請求，它也不斷的遭受較小規模的DDoS攻擊；

• 分布式拒絕服務：是指處于不同位置的多個攻擊者同時向一個或數個目標發動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊。由于攻擊的發出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務攻擊，其中的攻擊者可以有多個；

• 暴力拆解：是指攻擊者通過系統的組合所有可能性（例如登錄時用的賬戶名.密碼），嘗試所有的可能性破解用戶的賬戶名.密碼等敏感信息，攻擊者會經常使用自動化腳本組合出正確的用戶名和密碼；

• 端口掃描：端口掃描是指某些別有用心的人發送一組端口掃描消息，試圖以此侵入某臺計算機，并了解其提供的計算機網絡服務類型（這些網絡服務均與端口號相關）。端口掃描是計算機解密高手喜歡的一種方式。攻擊者可以通過它了解到從哪里可探尋到攻擊弱點。實質上，端口掃描包括向每個端口發送消息，一次只發送一個消息。接收到的回應類型表示是否在使用該端口并且可由此探尋弱點；

• 嗅探攻擊：嗅探器可以獲取網絡上流經的數據包。用集線器hub組建的網絡是基于共享的原理的，局域網內所有的計算機都接收相同的數據包，而網卡構造了硬件的“過濾器“通過識別MAC地址過濾掉和自己無關的信息，嗅探程序只需關閉這個過濾器，將網卡設置為“混雜模式“就可以進行嗅探。用交換機switch組建的網絡是基于“交換“原理的，交換機不是把數據包發到所有的端口上，而是發到目的網卡所在的端口，這樣嗅探起來會麻煩一些，嗅探程序一般利用“ARP欺騙“的方法，通過改變MAC地址等手段，欺騙交換機將數據包發給自己，嗅探分析完畢再轉發出去；

• 病毒攻擊：病毒是人為制造的，有破壞性，又有傳染性和潛伏性的，對計算機信息或系統起破壞作用的程序。它不是獨立存在的，而是隱蔽在其他可執行的程序之中。計算機中病毒后，輕則影響機器運行速度，重則死機系統破壞；

回答所涉及的環境：聯想天逸510S、Windows 10。